|
网络安全应急响应面临新问题
方滨兴
业界经常探讨网络威胁来自何方,这个话题可以从客观和主观原因进行分析,从客观原因看安全漏洞是客观事实,安全漏洞原因有各种各样,从计算来看,经常说数千条语句就会带来一个BUG,若干BUG
就会造成安全漏洞,很多系统都是几十万上百万的程序,所以安全漏洞存在是必然的,还有一些情况是由于增加功能附加的结果,还有一些调试的原因和人为原因增加了一些后门,这些都使得软件具有漏洞性。
安全漏洞存在是客观条件决定的,要想对系统进行攻击必须要利用这个安全漏洞,所以要挖掘对安全漏洞的利用是主观行为,尤其蠕虫类完全采用自动化的方法,通常来看一定是利用安全漏洞发起攻击,还有采取技巧性和外延式的利用安全漏洞的人工黑客攻击。另外安全漏洞被利用周期越来越短,以前可能长达1
年多,现在最快的从公布后48小时内就出现对这个安全漏洞的利用。
攻击的复杂度与对黑客的要求变得非常快,从攻击复杂度来看,随着时间的变迁复杂度越来越高,攻击的手段越来越强。可是,对黑客技术要求反而越来越低,关键就是自动化的工具手段越来越高,出现过几次大规模的黑客之间的较量,例如非常典型的“五一黑客事件”。现实中,大多数黑客操作都是对安全问题并不熟悉的网民,从网上下载一些黑客工具添上地址就去运行,形成整个网上攻击的蔓延,这种情况也给网络安全带来了很严重的破坏。
常见的网络攻击类型大致可分为以下几种:
第一类是控制系统类。用户的系统尽管实施了访问控制和口令保护,可以正常地运行,但是供给者可以绕过你的防范手段,比如特洛伊木马,它首先攻向系统,然后又利用系统漏洞把木马安装进去做反馈,NCERT/CC
通过木马活动情况发现:整个上半年共有5 万多次成功的木马攻击。
第二类是破坏系统类。这是强行的攻击,有误操作行为,也有黑客行为,用黑客手段发现配置上的漏洞或是整个管理上的问题,然后根据这些漏洞和问题去攻克这个系统。攻克之后可能破坏用户的数据库,也可能将用户的网页完全黑掉。
第三类是拒绝服务类。这类型的攻击完全是靠资源消耗,它没有漏洞,但是靠反复消耗你的资源进行系统破坏。这种典型的案例就是僵尸网络,僵尸网络可以有机的把他所控制的所有设备组织起来,然后指挥所有的设备同时做一件事情,比如发垃圾邮件,可以指挥数万个,甚至数十万个,如果有谁控制3、40
万个系统发动网络攻击,造成的后果可能是灾难性的。我们国家发现第一个僵尸网络是2004年年底长沙有一个黑客,他组织大量的攻击,
控制6万多台电脑,很多是自动蔓延,最终达到12万台左右的电脑受其控制。
现在僵尸网络发生变化,传统僵尸网络通过IRC
协议控制,现在有一些新的攻击方法,如具有P2P
的蠕虫出现。另外出现次数也较以前大为增多。2005 年5-6 月期间,CNCERT/CC
发现有29
个较大规模的僵尸网络,甚至有人在网上拍卖僵尸网络,“控制500个机器付500块钱”。这些僵尸网络不断扩张,更新版本。我们看到的控制器主要位于美国、韩国,当然中国大陆也有。
第四类是传染类。网络化时代,病毒自身没有太大生命力,但是病毒具有的附着力大为加强,它们往往通过载体生存和传播。蠕虫可以在网络上自我生存,自我扩张,从而造成网络风险,近年来还有取代病毒的趋势。特洛伊木马散发不太容易,没有太多共性的特征,往往容易造成对用户的欺骗,然后由用户自己主动运行造成攻击。
当前,我们面临着诸多挑战,譬如预警,从扩散、发现到大规模蔓延留给我们时间越来越短,以前一个病毒出现需要几个月到几年时间,有很多病毒注明一年后再发作,因为要留足够的扩散空间,不会一下爆发。后来宏病毒可以通过邮件传染了,它可在数周或数月后爆发,后来这个时间又缩短到数天,现在从发现到蔓延只需12
小时。
这里需要正视一些问题,比如国家级网络应急平台重在发现,这主要是因为所有应急处理都依靠国家平台自动处理是不可能的。再有网络安全应急是在“积极预防、及时发现、快速响应、力保恢复”
的大原则下有所侧重,其核心要素是发现与响应,你首先要第一时间知道风险来临,知道了之后要进行响应,所以这两个应该是核心。比如基础信息网络,是所有信息化系统运营的基础,如果出现问题影响太大了。而重要系统往往都是相对封闭的,各重要系统都有各自的处理能力,我们对它的外界攻击有配合性的防范,对于终端用户,不能指望设置一个报警电话就能解决问题,如果所有除了问题的终端都打个电话来要求国家应急中心来处理它们遇到的风险,这是不可想象的。当大规模的风险来临时,我们所要做的是迅速发布解决方法,并且大家在这个指导下各自解决自身问题,因为只有所有的互联网单位都解决好自身所遇到的安全问题,整个网络面临的安全风险才会得到很好的解决。
更加要重视综合防范与事后遏制,不能完全依赖预警,预警不是万能的,我们看到更多的是一个风险已经发生了,再采取手段遏制。现在很多网络安全事件爆发之前,先会出现一些征兆,然后应急部门再找出病毒样本结合征兆进行分析,并找出安全事件的特征,继而进行查杀和监控。另外还有时效性问题,病毒从进入网络到大规模扩散只需10分钟,可我们从发现病毒后进行分析,到采取措施绝对不是拿分钟衡量的,这时候核心问题是建立有效的技术手段来分析判断,此外,怎么遏制它的蔓延也是重要的。再有建立层次化的应急响应队伍也很关键,专业问题要靠专业化队伍来处理。
要大力呼吁建立跨部门的联动机制,比如通信行业与公安部门要很好联动,通信行业的优势是网络全程互连;公安的优势在于有大量的基层队伍,可以对每一个终端采取措施进行制裁,所以如果各个部门能够进行有效的联动,网络安全应急与响应事业会大大向前跨一步。
(来源:《信息网络安全》2006年第1期) |